通过揭示与新的恶意软件样本较为相似的之前分析过的老样本,从而揭示它们的共享代码,共享代码分析允许你复用以前的分析结果对新的恶意软件进行分析,这样就不用从头开始分析。了解此前看到的恶意软件来源信息,也可以帮助找出可能部署恶意软件的人。
共享代码分析,也称为相似性分析,通过估计它们共享的预编译源代码的百分比来比较两个恶意软件样本的过程。它不同于共享属性分析,共享属性分析实根据恶意软件的外部属性(例如,所使用的桌面图标,回连服务器)来比较恶意软件样本。
在逆向工程中,共享代码分析有助于识别可以一起分析的样本(因为它们来自相同的恶意软件工具包,或者是相同恶意软件家族的不同版本),这可以确定是否为相同的开发人员部署的-组恶意软件样本。
推荐一个共享代码分析的一个沙箱网站:https://analyze.intezer.com/,该沙箱也提供ida插件,来完成共享代码百分比分析。